Partager via

Générer des évaluations personnalisées (préversion) dans le Gestionnaire de conformité

  • Article

Conseil

Si vous n’êtes pas un client E5, utilisez la version d’évaluation de 90 jours des solutions Microsoft Purview pour découvrir comment des fonctionnalités Supplémentaires purview peuvent aider vos organization à gérer les besoins en matière de sécurité et de conformité des données. Commencez maintenant sur le hub d’évaluation Microsoft Purview. En savoir plus sur les conditions d’inscription et d’essai.

Le Gestionnaire de conformité offre la possibilité de modifier un modèle réglementaire en ajoutant des contrôles et des actions d’amélioration en fonction de vos besoins en matière de création d’une évaluation personnalisée. Tout d’abord, vous copiez un règlement, ajoutez des contrôles et des actions d’amélioration et des services, puis vous le publiez pour pouvoir commencer à l’utiliser pour les évaluations. Cet article explique comment copier et modifier un règlement afin de créer une évaluation personnalisée.

Personnaliser une réglementation

Vous pouvez apporter des modifications à un modèle réglementaire Microsoft existant afin de le personnaliser en fonction de vos besoins. Lorsque vous personnalisez un règlement :

  • Il hérite de tous les contrôles et actions du règlement parent.
  • Il hérite des mises à jour automatiques des contrôles gérés par Microsoft et des actions testées automatiquement, à l’exception des actions que vous modifiez.
  • Vous pouvez ajouter d’autres actions dans un contrôle qui existent déjà dans d’autres contrôles.
  • Vous pouvez créer vos propres actions et contrôles.
  • Vous pouvez ajouter des services.

Remarque

La copie d’un règlement Premium active le règlement pour votre organization et consomme une licence pour celui-ci. La licence vous permet de créer plusieurs copies d’un règlement et de créer plusieurs évaluations à partir d’une réglementation copiée. En savoir plus sur les licences réglementaires.

Mises à jour et contrôle de version

Lorsque vous personnalisez un règlement, il hérite de tous les détails, contrôles et actions du règlement parent. La réglementation personnalisée reçoit des mises à jour de Microsoft en cas de modifications apportées à la réglementation ou au produit associé. Toutefois, si vous modifiez une action qui est automatiquement testée, votre organization prend en charge les tests et l’implémentation, et l’action ne reçoit pas de mises à jour par Microsoft.

Conseil

Nous vous recommandons de ne pas apporter de modifications à une réglementation copiée et publiée pour l’instant, car les udpates ne seront pas reflétées dans l’historique du contrôle de version. Une expérience de gestion de version qui reflète toutes les mises à jour des réglementations personnalisées est dans notre feuille de route de produit pour un avenir proche.

Étapes de personnalisation d’une réglementation

  1. Dans le Gestionnaire de conformité, accédez à la page Réglementations .

  2. Cochez la case en regard du nom du règlement que vous souhaitez personnaliser.

  3. Sélectionnez Personnaliser la réglementation au-dessus de la liste des réglementations.

  4. Dans la boîte de dialogue Créer une copie de... , sélectionnez Copier.

La copie de l’évaluation est créée et la page des détails de l’évaluation s’ouvre.

Le nom du règlement est automatiquement créé, en commençant par « Extension », suivi du nom du règlement, suivi de « Copie 1 ». Par exemple, si vous copiez la réglementation ISO 27005:2018, le nom du règlement copié sera « Extension ISO 27005:2018 Copy 1 ».

Conseil

Après avoir publié le règlement, vous pouvez modifier le règlement copié pour modifier le titre ou la description.

L’onglet Contrôles répertorie tous les contrôles hérités du règlement d’origine ou parent. Le service répertorie les services auxquels l’évaluation s’applique et vous permet d’ajouter d’autres services à l’évaluation.

Le règlement copié a une status de Brouillon et ne peut pas être utilisé pour créer une évaluation tant que vous ne l’avez pas publiée. Pour rechercher votre règlement qui vient d’être copié dans la page Règlement , définissez le filtre État sur Brouillon pour l’afficher et tout autre règlement copié mais non publié.

Un règlement copié ne peut pas être supprimé.

Ajouter des contrôles

L’onglet Contrôles de la page de détails du règlement copié répertorie tous les contrôles de la réglementation sous-jacente. Vous pouvez ajouter vos propres contrôles en suivant les étapes ci-dessous :

  1. Sous l’onglet Contrôles du règlement, sélectionnez Créer un contrôle. Le volet volant Créer un contrôle s’affiche.

  2. Entrez un titre pour le contrôle.

  3. Entrez un ID de contrôle. Il doit s’agir d’un nombre unique, jusqu’à 150 caractères. L’ID ne peut appartenir à aucun contrôle existant dans cette évaluation ou dans un autre règlement.

  4. Sélectionnez une famille de contrôles dans le menu déroulant. Si le nom de la famille de contrôle souhaité n’est pas répertorié en tant qu’option, vous pouvez créer un nouveau nom de famille comme suit :

    • Sélectionnez Créer dans le menu déroulant Famille de contrôles .
    • Entrez un nom pour la nouvelle famille dans le champ Nom de la famille de contrôle . Ce nom de famille de contrôle sera ajouté en tant qu’option de liste déroulante après avoir créé le contrôle.

  5. Entrez une description facultative pour le contrôle.

  6. Sélectionnez Créer.

Après avoir créé le contrôle, vous arrivez à la page de détails du contrôle que vous avez créé. L’étape suivante consiste à lier les actions d’amélioration au contrôle.

Ajouter des actions d’amélioration aux contrôles

Sous l’onglet Vos actions d’amélioration de la page détails du contrôle, vous pouvez importer des actions à partir du règlement parent ou créer vos propres actions.

Actions d’importation

Vous pouvez importer dans un contrôle l’une des autres actions d’amélioration qui existent dans d’autres contrôles du règlement parent. Sélectionnez Importer des actions. Dans le volet volant Sélectionner les actions à importer , vous pouvez sélectionner toutes les actions en cochant la case en regard de l’en-tête de colonne Actions d’amélioration . Vous pouvez également case activée des actions individuelles en cochant la case en regard des noms.

Après avoir sélectionné les actions souhaitées, sélectionnez Importer.

Créer des actions

Vous pouvez créer vos propres actions d’amélioration à ajouter à votre règlement copié en suivant les étapes ci-dessous.

  1. Entrez un titre pour l’action d’amélioration.

  2. Sélectionnez une valeur score dans le menu déroulant. Les valeurs de score représentent le nombre maximal de points attribués pour l’exécution de l’action. Les valeurs sont attribuées selon que l’action est préventive, détective ou corrective, et si elles sont obligatoires ou discrétionnaires. Reportez-vous à cette explication des valeurs de score pour voir quel nombre est affecté à quel type d’action.

  3. Dans Services, sélectionnez un service dans le menu déroulant auquel l’action s’applique.

  4. Si l’action s’applique au service Microsoft 365, dans Solution, sélectionnez la solution appropriée dans le menu déroulant.

  5. Entrez une description facultative pour l’action.

  6. Sélectionnez Créer.

Une fois l’action créée, vous revenez à la page des détails du contrôle, et l’action d’amélioration que vous venez de créer est répertoriée sous l’onglet Vos actions d’amélioration .

Ajouter des services

L’onglet Services répertorie les services qui s’appliquent à la réglementation parente. Vous pouvez ajouter un service disponible pour cette réglementation en sélectionnant Ajouter des services disponibles et en sélectionnant un ou plusieurs services. Si aucun service n’est répertorié, vous pouvez créer un service et l’ajouter au règlement.

Pour créer votre propre service, sélectionnez Créer un service. Dans le volet volant, entrez un nom et une description pour le service, puis sélectionnez Enregistrer. Une fois que vous avez publié le règlement, le service ajouté est une option disponible si vous effectuez d’autres copies de la même réglementation.

Finaliser les modifications en publiant

Après avoir ajouté des contrôles et connecté des actions d’amélioration à la réglementation que vous avez copiée, vous devez publier les modifications afin de commencer à utiliser la réglementation étendue pour les évaluations.

  1. Accédez à la page de détails du règlement étendu.

  2. Sélectionnez Publier le modèle dans le coin supérieur droit.

Une fois que vous avez publié le modèle, il est répertorié dans la page Règlement et il est prêt pour la création de l’évaluation. Le status de la réglementation, qui est une option de filtre, est maintenant Prêt à l’emploi au lieu de Brouillon.

Les méthodes simples de recherche d’un règlement copié dans votre page Règlement sont les suivantes :

  • Définissez le filtre Créé par sur votre nom.
  • Sélectionnez la colonne Inclut le contenu personnalisé pour trier par la valeur True . True indique que la réglementation a été personnalisée.

Remarque

Vous ne pouvez pas créer une évaluation à partir d’une réglementation copiée tant que vous ne la publiez pas en sélectionnant Publier le modèle.

Modifier un règlement copié

Après avoir publié un règlement copié, vous pouvez modifier son nom, modifier sa description et continuer à ajouter et modifier des contrôles et des actions. Pour modifier un règlement, sélectionnez-le dans la liste de la page Règlement . Dans la page détails de la réglementation, sélectionnez les points de suspension (...) dans le coin supérieur droit, puis sélectionnez Modifier la réglementation.

À ce stade, une copie de travail du règlement est faite afin que vous puissiez apporter des modifications et enregistrer votre travail en cours sans remplacer la copie publiée. Lorsque vous avez terminé d’apporter des modifications, vous devez le publier à nouveau en sélectionnant Publier le modèle dans le coin supérieur droit. Lorsque vous sélectionnez Publier le modèle, un volet de menu volant Vérifier et publier s’affiche, dans lequel vous pouvez passer en revue vos modifications et ajouter des notes de publication. Sélectionnez Publier le modèle dans le volet volant pour enregistrer les modifications et republier votre règlement.

Création de plusieurs copies du même règlement

Vous pouvez créer plusieurs copies d’un règlement afin de pouvoir le personnaliser de différentes façons. Vous pouvez avoir plusieurs versions d’une réglementation si vous souhaitez créer différentes configurations de contrôle ou inclure uniquement certains services pour la même réglementation, puis créer des évaluations basées sur ces extensions.

Plusieurs copies sont automatiquement nommées avec des numéros ajoutés au nom. Par exemple, si vous créez deux copies de la réglementation ISO 27005:2018, elles sont nommées comme suit : « Extension ISO 27005:2018 Copy 1 » et « Extension ISO 27005:2018 Copy 2 ».

Nous vous recommandons de modifier les descriptions des réglementations étendues afin que vous puissiez identifier clairement en quoi elles diffèrent ou ce qu’elles sont destinées à évaluer. Pour modifier la description :

  1. Accédez à la page des détails du règlement.

  2. Dans la section Vue d’ensemble , sous Détails, sélectionnez Modifier les détails. Le volet volant Modifier les détails du modèle s’affiche.

  3. Dans le champ Description , entrez une description détaillée.

  4. Sélectionnez Enregistrer.